Sikkerhedsoplysninger / 2012 / Sikkerhedsoplysninger -- DSA-2440-1 libtasn1-3

Debians sikkerhedsbulletin

DSA-2440-1 libtasn1-3 -- manglende grænsekontrol

Rapporteret den:

24. mar 2012

Berørte pakker:

libtasn1-3

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2012-1569.

Yderligere oplysninger:

Matthew Hall opdagede, at mange kald af funktionen asn1_get_length_der ikke kontrollerede resultatet mod den overordnede bufferlængde, før det blev yderligere behandlet. Det kunne medføre hukommelsestilgang uden for grænserne og applikationsnedbrud. Applikationer, der anvender GNUTLS er ramte af dette problem.

I den stabile distribution (squeeze), er dette problem rettet i version 2.7-1+squeeze+1.

I den ustabile distribution (sid), er dette problem rettet i version 2.12-1.

Vi anbefaler at du opgraderer dine libtasn1-3-pakker.